मैगनेटो सुरक्षा पंच सूची

यह बहुत बार होता है कि हम किसी अन्य फर्म से साइट लेते हैं और अब हम कोड के एक समूह के साथ फंस गए हैं और संभावित रूप से दर्जनों लोग जो एक साइट पर काम कर चुके हैं। मैं आइटम की एक पंच सूची की तलाश कर रहा हूं ताकि मैगेंटो साइट को कठोर बनाने के लिए किसी सुरक्षा व्यक्ति से पूछा जा सके। यह आवश्यक होगा यदि कोई सभी कोड के लिए पूरी जिम्मेदारी लेता था और ग्राहक खरोंच से पुनर्निर्माण नहीं करना चाहता था।

मेरा प्रश्न: क्या कोई शीर्ष 10 या शीर्ष 20 वस्तुओं की सूची है जो पूछने और दस्तावेज करने के लिए है?

मेरे अनुभव से, सुरक्षा की दृष्टि से नई दुकान लेते समय जानकारी प्राप्त करने के लिए ये महत्वपूर्ण बातें हैं। यह सूची अभी तक पूरी नहीं हुई है और मैं सूची पर काम करना जारी रखूंगा।

Magento सुरक्षा

1. HTTPS का उपयोग किया जाता है (सभी दुकान पर, केवल चेकआउट के लिए)?
2. कस्टम व्यवस्थापक पथ?
3. व्यवस्थापक पथ तक पहुंच प्रतिबंधित है?
4. कितने एडमीन? कोई भी अनावश्यक उपयोगकर्ता सक्रिय?
5. खाता सुरक्षा और पासवॉटर एन्क्रिप्शन (ग्राहकों और प्रवेशों के लिए): मानक या अनुकूलन? 2-कारक मूल?
6. (नवीनतम) Magento संस्करण का इस्तेमाल किया?
7. Magento सिक्योरिटी पैच लागू?
8. कस्टम रूट स्तर के फ़ोल्डर / स्क्रिप्ट जो रिमोट से एक्सेस किए जाने के लिए आवश्यक हैं?
9. परीक्षण / स्टेजिंग सिस्टम तक पहुँच (यदि उपलब्ध हो) प्रतिबंधित है?
10. Webservices, आयात / निर्यात कार्यक्षमता का इस्तेमाल किया?
11. कितने Webservice भूमिकाएँ? किसी भी अनावश्यक भूमिका सक्रिय?
12. स्थापित एक्सटेंशन की सूची
13. आज तक स्थापित एक्सटेंशन?
14. PCI-DSS, विश्वसनीय दुकानें, कोई अन्य लेबल?
15. सत्र / कुकी लाइफटाइम?
16. केवल Magento चलाते हैं। (कोई वर्डप्रेस या किसी अन्य तीसरे पक्ष के सॉफ़्टवेयर नहीं)
17. डेटा संग्रहीत: किस प्रकार का ग्राहक और ऑर्डर डेटा (साथ ही 3 डी पार्टी और अनुकूलित एक्सटेंशन से डेटा) संग्रहीत किया जाता है? बैंक डेटा, क्रेडिट कार्ड डेटा (PCI-DSS देखें)?

सिस्टम की सुरक्षा

1. PHP संस्करण: हाल का संस्करण या पुराना एक?
2. फ़ाइल अनुमतियां: www-data / apache उपयोगकर्ता या रूट के रूप में चल रहा है?
3. उचित फ़ाइल अनुमतियाँ सेट करें?
4. विशिष्ट डेटाबेस-क्रेडेंशियल्स बनाम डेटाबेस को रूट के रूप में चलाएं?
5. SSH / SFTP का उपयोग? कुंजी आधारित प्रमाणीकरण?
6. होस्टिंग प्रदाता के साथ एसएलए (नियमित) ओएस, पीएचपी + मॉड्यूल अपडेट और सुरक्षा अपडेट?

संगठन

1. सिस्टम (सुरक्षा) अपडेट के लिए कौन जिम्मेदार है?
2. लाइव-सर्वर तक किसकी पहुंच है?
3. लाइव-शॉप तक किसकी पहुंच है?
4. कोड कहाँ होस्ट किया गया है? नंगे रेपो और पुश एक्सेस की सुविधा किसके पास है?
5. वर्तमान सॉफ्टवेयर विकास प्रक्रिया क्या दिखती है? स्टेजिंग / टेस्ट / लाइव के लिए कोड को तैनात करने से पहले क्या कोड समीक्षाएं और स्वचालित जांच होती है?
6. क्या कोई सुरक्षा परीक्षण या सुरक्षा ऑडिट (नियमित रूप से) किया गया है?
7. क्या कोई नियमित बैकअप है? यदि हां, तो क्या यह बाहरी है?
8. दुकान / कंपनी के आकार के आधार पर: क्या व्यापार निरंतरता और / या वसूली योजनाएं हैं?

सुनिश्चित करें कि आपका / डाउनलोडर / फ़ोल्डर सुरक्षित है। आपके पास दुनिया का सबसे लंबा पासवर्ड हो सकता है, लेकिन अगर मेरे पास दुनिया का हर समय आपके डाउनलोडर पेज पर आपकी उपयोगकर्ता जानकारी को बाध्य करने के लिए है तो मैं इसे अंततः प्राप्त करने जा रहा हूं। एक और बात यह सुनिश्चित करने के लिए है कि आपके सर्वर निर्देशिकाओं की सूची नहीं बना सकते हैं। यदि वे सूचीबद्ध हैं तो मैं आसानी से Google पर आपकी सर्वर सामग्री खींच सकता हूं और ब्राउज़ करना शुरू कर सकता हूं। आप अपने वेब सर्वर पर संवेदनशील लोगों द्वारा संग्रहीत जानकारी की मात्रा पर चकित होंगे।

एना वोल्क की सूची में विस्तार करने के लिए, यह सूची ऊपर और परे है जो विशिष्ट है

• सामग्री सुरक्षा नीति (जब सही तरीके से लागू की जाती है, तो XSS को असंभव बना देती है)
• HSTS (HTTP सख्त परिवहन सुरक्षा)
• ठीक से सेट संदर्भों के साथ SELinux।
• स्वचालित सिस्टम सुरक्षा अपडेट के लिए यम-क्रॉन / अनअटेंडेड-अपडेट इंस्टॉल किए गए